Årets siste måned var fylt med snø, julestemning, og selvsagt personvernnyheter!
La oss ta en titt på de siste sakene som rakk å snike seg inn i 2023.
Google inngikk forlik om sporing i inkognito-modus
Google har i USA blitt saksøkt i et gruppesøksmål for å ha sporet brukeradferd også når brukere av Chrome har vært i inkognito-modus. De saksøkende brukerne har hevdet at Google har brukt denne informasjonen, og sammenstilt den med deres eksisterende Google-brukere.
Retten avviste Googles forsøk på å forsvare seg ved å hevde at brukerne har samtykket til og vært klar over dette. Forsvaret har vært basert på advarselen som vises når man åpner et nytt inkognito-vindu om at informasjon fortsatt kan bli sendt til nettsidene man besøker. Google har imidlertid ikke vært åpne om at de selv bruker denne informasjonen, og dette har retten basert seg på:
"Because Google never explicitly told users that it does so, the Court cannot find as a matter of law that users explicitly consented to the at-issue data collection.”
Nå har Google varslet at de vil inngå forlik, og dermed vil saken mest sannsynlig avsluttes med det.
EU-retten har avgjort at man kan ha rett på erstatning for ikke-materielle skader ved personvernbrudd
En person som fikk sine data lekket ved et datainnbrudd gikk til sak og krevde erstatning på grunn av frykten innbruddet hadde skapt for mulig fremtidig misbruk.
Saken ble klaget inn til EU-retten som har avgjort at det ikke må foreligge konkret skade for at man skal kunne kreve erstatning. Frykt for misbruk er i seg selv en skade, men frykten må være begrunnet, og relatert til de faktiske dataene som har blitt lekket.
Sammen med en tidligere sak der EU-retten har avgjort at det ikke er noe objektivt lovbestemt minstekrav til hvor stor skade som må ha oppstått for at man skal ha rett på kompensasjon, er det grunn til å tro at vi kan komme til å se flere saker der det vil kreves erstatning fra de registrerte som rammes av ulike brudd på GDPR.
noyb klager inn Meta for sin “Pay or okay”-modell for bruk av persondata til markedsføring
Organisasjonen none of your business (noyb) har klaget inn Meta til det Østerrikske datatilsynet for deres nye modell der brukerne enten må godta personifisert reklame og sporing, eller betale over to tusen kroner i året for å ivareta personvernet sitt på Facebook og Instagram.
noyb har regnet ut at dersom denne modellen sprer seg vil den gjennomsnittlige bruker — som har rundt 35 apper på telefonen sin — ville måttet betale over 80 000 kroner i året om disse innførte tilsvarende modeller.
Organisasjonen mener at samtykket som blir gitt av de som ikke ønsker å betale ikke kan anses som gyldig etter GDPR, fordi det ikke er gitt fritt når alternativet er å betale for personvernet sitt.
Easypark utsatt for dataangrep — personopplysninger på avveie
Før jul ble Easypark utsatt for et dataangrep hvor de melder at det har kommet opplysninger på avveie om kundene deres. Dette inkluderer navn og kontaktinformasjon, men også siste 4 siffer i kortnummer.
Selv om Easypark skriver at dette ikke kan brukes til å foreta betalinger finnes det mange selskaper som bruker denne informasjonen til å verifisere identitet f.eks. når man tar kontakt med support.
Easypark har ikke skrevet noe om omfanget av datalekkasjen, men sier at de tar kontakt med brukerne på epost og SMS for å varsle dem om at informasjonen deres er på avveie.